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VIRUS MÁY TÍNH: BẢN CHÁT VÀ PHẦN LOẠI 


1. Virus máy tính và các khái niệm liên quan 

Sau đây là thuật ngữ chung cho bất kỳ chương trình máy tính được thiết kế để gây tốn hại cho 
nạn nhân (của mình): 

e Mã độc (Malicious code) 

se. Chương trình độc hại (Malicious program) 

e Phần mềm ác tính (hay phần mềm độc hại) (Malware, by analogy with "software") 

e_ Chương trình lừa đảo (Rogue program) 


Phân mêm ác tính (malware): (chữ ghép của maliciuos và software) là tên gọi chung các 
phần mêm có tính năng gây hại như virus, bom logic, sâu máy tính (worm computer) và thê 
hệ sau của sâu máy tính là Trojan horse. 


Chương trình máy tính độc hại, phần mềm ác tính được chia thành các lớp sau đây: 


1.1. Virus máy tính 


Là một chương trình "lây nhiễm"' lên một tập tin thực thi. Sau khi lây nhiễm, các chức năng 
tập tin thực thi theo một cách khác hơn trước như: chỉ hiển thị một thông điệp lành tính trên màn 
hình, xóa một số hoặc tất cả các file trên ổ cứng của người dùng, định dạng lại lộ cứng, thay đôi 
các tập tin dữ liệu. 

Có hai đặc điểm chính của một virus máy tính: 


1. Khả năng lan truyền bằng cách gắn nó vào các file thực thi (ví dụ như, chương trình 
ứng dụng, hệ điều hảnh, macro, script, khu vực khởi động của một đĩa cứng hoặc đĩa 
mềm, đĩa USB). Chạy tập tin thực thi có thể sinh ra một bản sao mới của virus. 


2. Virus gây hại chỉ sau khi nó đã bị nhiễm một tập tin thực thi và file thực thi được chạy. 


Từ "virus" đôi khi (lạm dụng) sử dụng rộng rãi đê chỉ virus máy tính, sâu, và chương trình 
TrojJan Horse. "Phân mêm chông virus" là phân mên diệt ba lớp các chương trình độc hại nói 
trên. 


1.2. Sâu máy tính (worm comptuter) 


Là một chương trình có khả năng tự nhân bản (thực hiện tạo ra bản sao chính nó). Sự khác 
biệt giữa một loại virus và sâu máy tính, là một virus không bao giờ tạo ra các các bản sao 
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chính nó - một virus chỉ tạo ra bản sao chính nó khi tệp chương trình bị lây nhiễm được 
kích hoạt. 


Ở dạng ban đầu (pure), một con sâu không thực hiện xóa tệp, cũng không làm thay đổi các tệp 
dữ liệu trên máy tính của nạn nhân — chúng chỉ cần thực hiện nhiều bản sao của chính chúng và 
gửi các bản sao từ máy tính của nạn nhân lên các máy tính trên mạng. Điều này nhanh chóng làm 
đầy ổ đĩa và tắc nghẽn đường truyền Internet. Sự phát tán một lượng lớn các sâu vào Internet sẽ 
làm chậm sự lưu thông hợp thức trên Internet, giống như sự gia tăng liên tục lưu lượng giao 
thông và gây ra ách tắc. 


Điêm cân lưu ý ở đây, ngoài tác hại thăng lên máy bị nhiễm, nhiệm vụ chính của worm là phá 
các mạng thông tín, làm giảm khả năng hoạt động hay húy hoại các mạng này. Đây là đặc 
điểm riêng của worm khác với virus vì virus nhăm vào mục đích phá hoại máy tính. 


Worm nồi tiếng nhất được tạo bởi Robert Morris vào năm 1988. Nó có thể làm hỏng bắt kì hệ 
điều hành UNIX nảo trên Internet. Tuy vậy, có lẽ worm tồn tại lâu nhất là virus happy99, hay 
các thế hệ sau đó của nó có tên là Trojan. Các worm này sẽ thay đổi nội dung tệp wsok32.dl 
của Windows và tự gửi bản sao của chính chúng đi đến các địa chỉ cho mỗi lần gửi thư điện tử 
hay các thông điệp trên mạng máy tính. 


1.3. Trojan Horse 


Thường được tải về trong một file đính kèm trong e-mail, là một chương trình giả mạo hữu 
ích, nhưng có chứa ít nhất một chức năng độc hại mà người sử dụng không biết được. Một 
Trojan Horse không tái tạo, đây là điểm phân biệt nó khỏi virus và sâu. 


Ngày nay, các Trojan horse đã được nâng cấp để có thêm chức năng tự phân tán (lây nhiễm). 
Điều này đấy khái niệm Trojan horse đến gần với khái niệm virus và chúng trở thành khó 
phân biệt sự khác nhau, nói cách khác Trojan hiện nay cũng có thể được xem là một loại virus 
đặc biệt và thậm chí còn nguy hiểm hơn cả virus thông thường. 


Trojan horse nghĩa là "Con ngựa của thành Troy", và đúng như điển tích về "con ngựa thành 
Troy trong thần thoại Hy Lạp", Trojan horse giăng bẫy đánh lừa người dùng bằng cách tự nhận 
là giúp cho máy của thân chủ chống lại các virus, nhưng thay vì làm vậy, nó quay ra đem virus 
vào máy tính hoặc chính bản thân nó ngầm hủy hoại đữ liệu và ô đĩa cứng. Các cách giăng bẫy 
khác của Trojan horse là nó ẩn mình dưới dạng một chương trình hữu ích và có những chức năng 
mong muốn, hay ít nhất chúng trông như có các tính năng này; sau đó, một cách bí mật, nó lại 
tiến hành các thao tác khác không mong đợi. Trong thực tế, nhiều Trojan còn chứa đựng các 
phần mềm gián điệp nhằm cho phép máy tính thân chủ bị điều khiển từ xa qua hệ thống mạng. 


Trojan có các kiêu gây hại nhiêu điện hình sau đây: 
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— Xoá hay viết lại các dữ liệu trên máy tính 

— Làm hỏng chức năng của các tệp 

— Lây nhiễm các phần mềm ác tính khác 

— Cài đặt mạng đề máy có thể bị điều khiển bởi máy khác hay dùng máy nhiễm đề gửi thư rác 
— Đọc lén các thông tin cần thiết và gửi báo cáo đến nơi khác (xem thêm phần mềm gián điệp) 
— Ăn cắp thông tin như là mật khẩu và số thẻ tín dụng 

— Đọc các chỉ tiết tài khoản ngân hàng và dùng vào các mục tiêu phạm tội 

— Cài đặt lén các phần mềm chưa được cho phép 


* Sự nguy hiểm của "con ngựa" Trojan là nó cho phép hacker điều khiển từ xa máy tính của nạn 
nhân, đề thu thập mật khẩu và số thẻ tín dụng và gửi về hacker, hoặc để khởi động tân công "Từ 
chối dịch vụ" trên các trang web. 


Cách phòng chống Troujan: Đ loại trừ Trojan horse người chủ máy tính chỉ việc tìm ra tập tin 
Trojan horse rồi xóa nó đi là xong. Tuy nhiên, không có nghĩa là không thể có hai con Trojan 
horse trên cùng một hệ thống. Chính những kẻ tạo ra các phần mềm ác tính này sẽ sử dụng kỹ 
năng lập trình của mình để sao lưu thật nhiều con Trojan trước khi phát tán lên mạng. Tuy không 
phải là một virus thực sự nhưng Trojan horse lại có chức năng hủy hoại tương tự virus, nó có thể 
hủy ô cứng, hủy dữ liệu. 

Cách hữu hiệu nhất là đừng bao giờ mở các đính kèm được gửi đến một cách bất ngờ. Khi các 
đính kèm không được mở ra thì Trojan horse cũng không thể hoạt động. Cần thận với ngay cả 
các thư điện tử gửi từ các địa chỉ quen biết. Trong trường hợp biết chắc là có đính kèm từ nơi gửi 
quen biết thì vẫn cần phải thử lại bằng các chương trình chống virus trước khi mở nó. Các tệp tải 
về từ các dịch vụ chia sẻ tệp như là Kazaa hay Gnutella rất đáng nghỉ ngờ, vì các dịch vụ này 
thường bị dùng như là chỗ đề lan truyền Trojan horse. 


1.4. Bom logic 


là một chương trình đã được cố tình viết hoặc sửa đổi đề tạo ra kết quả bất ngờ và trái phép khi 
một số điều kiện nào đó được thỏa mãn, và các điều kiện này được tạo ra bởi chính người sử 
dụng hợp pháp hoặc chủ sở hữu của phần mềm. Bom logic có thể tồn tại được trong các chương 
trình độc lập hoặc có thể là một phần của "sâu máy tính" hoặc virus. Đặc điểm của bom logic 
là nó sẽ sẽ nổ vào trong những thời điểm nhất định tùy thuộc vào từng bom. Nó cũng có thể coi 
là một loại virus máy tính. Khi chương trình phát nỗ, nó có thể làm treo máy tính (ví dụ, đi vào 
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một vòng lặp vô hạn), phát hành một virus, xóa các tập tin dữ liệu, hoặc nhiêu khả năng khác có 
hại. 


1.5. Virus giả (hoaxes) 


Là một chương trình hay một thông điệp chơi khăm, nó tự cảnh báo nó là một chương trình độc 
hại nhưng thực ra không phải như vậy. 


2. So sánh virus và sâu máy tính 


1. Một virus lây nhiễm một tập tin thực thị, trong khi một sâu máy tính là một chương 
trình độc lập. 


2. Virus đòi hỏi phải hành động của con người đề lan truyền (ví dụ như chạy một chương 
trình bị nhiễm, khởi động từ đĩa đã bị nhiễm trên các thành phần khởi động của HĐH) 
ngay cả khi các hành động của con người là vô ý, trong khi một worm lan truyền tự 
động. 


Đối với hầu hết virus hoặc worm, hai cách thức khác nhau nhưng có thể mang lại cùng 
một hậu quả gây hại. Tuy nhiên, đã có một vài chương trình độc hại có thể đồng thời 
được coi là một virus hoặc một sâu máy tính, điều này cuối cùng được phân loại bởi các 
nhà khoa học máy tính và bởi những người đang làm nghiên cứu với các chương trình 
độc hại. 


Trong khoa học máy tính, virus máy tính là những chương trình hay đoạn mã được thiết kế để 
tự nhân bản và sao chép chính nó vào các đối tượng lây nhiễm khác (tệp, Ô đĩa, máy tính ..). 


Trước đây, virus thường được việt bởi một sô người am hiệu về lập trình, muôn chứng tỏ khả 
năng của mình, nên thường virus có các hành động như: cho một chương trình không hoạt động 
đúng, xóa dữ liệu, làm hỏng ô cứng, hoặc gây ra những trò đùa khó chịu. 


Những virus mới được viết trong thời gian gần đây không còn thực hiện các trò đùa hay sự phá 
hoại đối máy tính của nạn nhân bị lây nhiễm nữa, mà đa phần hướng đến việc lấy cắp các thông 
tin cá nhân nhạy cảm (các mã số thẻ tín dụng) mở cửa sau (backdoor) cho tin tặc đột nhập 
chiếm quyền điều khiển hoặc các hành động khác nhằm có lợi bất chính cho chủ nhân phát tán 
VIrUS. 


Chiếm trên 90% số virus đã được phát hiện là nhắm vào hệ thống sử dụng hệ điều hành 
Windows, chỉ đơn giản bởi hệ điều hành này được sử dụng nhiều nhất trên thến giới. Do tính 
thông dụng của Windows nên các tin tặc thường tập trung hướng vào chúng nhiều hơn là các hệ 
điều hành khác. Cũng có quan điểm cho rằng Windows có tính bảo mật không tốt bằng các hệ 
điều hành khác (như Linux) nên có nhiều virus hơn, tuy nhiên nếu các hệ điều hành khác cũng 
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thông dụng như Windows hoặc thị phần các hệ điều hành ngang bằng nhau thì lượng virus xuất 
hiện có lẽ cũng tương đương nhau. 


3. Một sô khái niệm liên quan 


2.1. Phần mềm gián điệp (spyware) 


Đây là loại virus có khả năng thâm nhập trực tiếp vào hệ điều hành mà không để lại "di 
chứng". Thường một số chương trình diệt virus có kèm trình diệt spyware nhưng diệt khá kém 
đối với các đợt "dịch". Mục tiêu của phần mềm gián điệp, đúng như tên gọi của nó, hầu như 
không đề phá hoại dữ liệu mà đề lấy cắp thông tin, phục vụ cho các mưu đồ bắt chính. 


2.2. Phần mềm quảng cáo (adware) 


Loại phân mêm quảng cáo, rât hay có ở trong các chương trình cài đặt tải từ trên mạng. Một sô 
phân mêm vô hại, nhưng một sô có khả năng hiên thị thông tin kín mít màn hình, cưỡng chê môi 
trường làm việc của người sử dụng. 


1.3. Phishing 


Là một hoạt động phạm tội dùng các kỹ thuật lừa đảo. Kẻ lừa đảo cố gắng lừa lây các thông 
tin nhạy cảm, chẳng hạn như mật khẩu và thông tin về thẻ tín dụng, bằng cách giả là một người 
hoặc một doanh nghiệp đáng tin cậy trong một giao dịch điện tử. Phishing thường được thực hiện 
bằng cách sử dụng thư điện tử hoặc tin nhăn, đôi khi còn sử dụng cả điện thoại. 


1.4. Phần mêm tông tiên (Ransomwarce) 

Là loại phần mềm sử dụng một hệ thống mật mã đề mã hóa dữ liệu thuộc về một cá nhân và đòi 
tiền chuộc thì mới khôi phục lại. 

1.5. Spam 


Thư rác, thư linh tinh, tên gốc tiếng Anh là spam hay spam mail, là các thư điện tử vô bổ thường 
chứa các loại quảng cáo, được gửi một cách vô tội vạ, nơi nhận là một danh sách rất dài gửi từ 
các cá nhân hay các nhóm người nào đó. Đôi khi, spam cũng dùng để lừa gạt bằng cách dụ dỗ, 
dẫn dắt những người nhẹ dạ, cả tin, để tìm cách đọc số thẻ tín dụng và các tin tức cá nhân của họ. 
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1.6. Keylogger 


Là phần mềm ghi lại chuỗi phím gõ của người dùng. Nó có thê hữu ích cho việc tìm nguồn 
gốc lỗi sai trong các hệ thống máy tính và đôi khi được dùng để đo năng suất làm việc của nhân 
viên văn phòng. Các phần mềm kiểu này rất hữu dụng cho ngành luật pháp và tình báo, ví dụ: 
cung cấp một phương tiện đề lây mật khẩu hoặc các khóa mật mã và nhờ đó qua mắt được các 
thiết bị an ninh. Tuy nhiên, mặt trái của nó là các phần mềm keylogger được phố biến rộng rãi 
trên Internet nên bất cứ ai cũng có thể sử dụng cho mục đích lấy trộm mật khẩu và chìa khóa mã 
hóa. 


1.7 Biến thể 


Một hình thức trong cơ chê hoạt động của virus là tạo ra các biên thê của chúng. Biên thê của 
virus là sự thay đôi mã nguôn nhăm các mục đích tránh sự phát hiện của phân mêm diệt virus 


hoặc làm thay đôi hành động của nó. 


Một sô loại virus có thê tự tạo ra các biên thê khác nhau gây khó khăn cho quá trình phát hiện và 
tiêu diệt chúng. Một sô biên thê khác xuât hiện do sau khi virus bị nhận dạng của các phân mêm 
diệt virus, chính tác giả hoặc các tin tặc khác (biệt được mã của chúng) đã việt lại, nâng câp hoặc 


cải tiến chúng đề tiếp tục phát tán. 


1.8. Cửa hậu (Backdoor) 


Trong một hệ thống máy tính, cửa hậu là một phương pháp vượt qua thủ tục chứng thực 
người dùng thông thường hoặc để giữ đường truy nhập từ xa tới một máy tính, trong khi 
có gắng không bị phát hiện bởi việc giám sát thông thường. 


"Trên máy chủ thường có các công dịch vụ chính thức, được xem là "cổng chính". Khi một máy 
chủ nào đó đã bị thâm nhập và kẻ thâm nhập đã đoạt được chủ quyền, hắn cải vào máy chủ một 
dịch vụ nảo đó đề tạo "cổng sau" nhằm mục đích để trở lại máy chủ này một cách dễ dàng và kín 
đáo khi nào cần." (Theo admin của diễn đàn HVA - Hacker Vietnam Association). 


Cửa hậu có thể có hình thức một chương trình được cài đặt (ví dụ Back Orifice hoặc cửa hậu 
rookit Sony/BMG rootkit được cài đặt khi một đĩa bất kỳ trong số hàng triệu đĩa CD nhạc của 
Sony được chơi trên một máy tính chạy Windows), hoặc có thể là một sửa đổi đối với một 
chương trình “hợp pháp” - đó là khi nó đi kèm với Trojan. 
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1.9. Rooftkit 


Là một bộ công cụ phần mềm dành cho việc che dấu các tiến trình đang chạy, các tệp hoặc 
dữ liệu hệ thống. Rootkit có nguồn gốc từ các ứng dụng tương đối “hiền lành”, nhưng những 
năm gần đây, rootkit đã bị sử dụng ngày càng nhiều bởi các phần mềm ác tính, giúp kẻ xâm nhập 
hệ thống giữ được đường truy nhập một hệ thống trong khi bị “truy tìm” để tránh bị phát hiện. 
Người ta đã biết đến các rootkit dành cho nhiều hệ điều hành khác nhau chăng hạn Linux, Solaris 
và một số phiên bản của Microsoft Windows. Các rootkit thường sửa đôi một số phần của hệ 
điều hành hoặc tự cài đặt chúng thành các driver hay các module trong nhân hệ điều hành (kernel 
module). 


Một số ví dụ điển hình của rootkit bị lợi dụng: 


- Tháng I1 năm 2007, giới tin tặc phát hiện ra các đĩa CD nhạc của Sony được cải đặt rookit để 
giấu tệp chống sao chép. Các tệp được cất giấu dưới dạng tiền tố "$sys$". Những kẻ viết phần 
mềm độc hại đã đổi tên tệp đề lợi dụng đặc điểm này. 


- Vào tháng 3, nhà sản xuất phần mềm chống virus ở Tây Ban Nha là Panda Software cho biết họ 
đang tìm biến thê của sâu Bagle cực kỳ độc hại có trang bị khả năng của rootkit. Trầm trọng hơn, 
tương tự như các "nhà sản xuất" chương trình botnet, những kẻ tạo phần mềm rootkit còn bán 
hoặc phát tán miễn phí các công cụ, giúp những tay viết phần mềm độc hại đễ dàng bổ sung chức 
năng rootkit cho các virus cũ như Bagle hay tạo loại mới. 


- Một dự án thực hiện bởi Microsoft và một số nhà nghiên cứu của đại học Michigan đã tạo ra 
một phương thức mới cho rootkit, nó gần như "đặt" hệ điều hành chạy trên nền của phần mềm 
SubVirt (tên của dự án nghiên cứu) để tạo ra một “máy ảo” (hay hệ điều hành ảo). Máy ảo vẫn 
làm việc bình thường, còn hệ điều hành thực sự vẫn nhìn thấy những gì đang diễn ra để điều 
khiển mọi thứ; với cách này rõ ràng hệ điều hành vẫn làm việc bình thường nhưng lại có thê dễ 
dàng giấu chính nó. Kỹ thuật này không dễ thực hiện và người dùng dễ nhận ra vì nó làm chậm 
hệ thống và làm thay đổi một số tệp nhất định. Vấn đề còn chưa lường trước được là bọn tin tặc 
có thể thực hiện được các phương thức tấn công mới đối với siêu rootkit này. 


1.10. Botnet 


Là một tập hợp các rô-bôt phần mm, thường được gọi là các con øø, hoạt động một cách 
tự chủ. Mỗi con bot khi thâm nhập vào một máy tính sẽ biến máy tính này trở thành một 
Zoombie ("máy tính thây ma” — máy tính bị chiếm quyền điều khiển hoàn toàn). Do đó, một 
cách hình ảnh, người ta có thể nói rằng botnet là một tập hợp các máy tính bị bắt cóc và điều 
khiển bởi người khác thông qua những con öø¿, là chương trình tương tự như Trojan. 
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Các con bot này thường cl động kết nỗi với một Server để dễ dàng điều khiển. Từ “chủ động” 
ở đây được nhân mạnh vì đó là đặc điểm khác của bot để phân biệt với Trojan backdoor. Chính 
vì sự chủ động này mà máy tính Zoombie khi kết nối trở vào mạng thì trở nên rất chậm chạp, và 
đó là một đặc điểm giúp ta đễ dàng nhận diện bot. 


Mạng botnet là một mạng rất lớn gồm hàng trăm hàng ngàn máy tính Zombie kết nối với một 
máy chủ cung cấp dịch vụ chz mIRC (Internet Replay Chat) hoặc qua các máy chủ quản lý tên 
miền DNS (Domain Name System) để nhận lệnh từ botmaster (hacker) một cách nhanh nhất. 
Các mạng bot gồm hàng ngàn “thành viên” là một công cụ lý tưởng cho các cuộc chiến tranh đồ 
máu như DDOS, Spam, và cài đặt các chương trình quảng cáo. Các bot-master thích dùng máy 
chủ DSN hơn là máy chủ mIRC để điều khiển đội quân Zoombie của mình bởi vì các con bot 
hoạt động trên nền web (DNS - Domain Name Server) ngay cả khi online hay offline. Trước đây 
do bot luôn có khả năng lây lan nên còn được gọi là botnet-worm, nhưng hiện nay chức năng này 
thường được các hacker được gỡ bỏ vì bot dễ bị lộ khi tiến hành phục kích lâu dài và kích thước 
của worm lớn nên dễ bị tường lửa (Fire Wall) dễ phát hiện và chặn lại, do đó khó lây lan. 


Phát tán bot như thể nào? Các botmaster thường phát tán bot theo những cách như sau: 


— Cách 1: Sử dụng một con worm tải bot xuống và kích hoạt chúng (ta đã biết là worm lây lan rất 
mạnh); 


— Cách 2: Gắn bot vào một Trojan, nói cách khác là gửi các chương trình bị lây nhiễm bởi bør 
cho các nạn nhân và đề tự họ sẽ kích hoạt chúng 


— Cách 3: Gắn bot lên một trang web nhiều người truy cập (thường là các trang web sex!) 
— Cách 4: Kết hợp cách 1 với cách 2 hoặc với cách 4 (gắn worm vào Trojan hoặc web) 


Các hacker ưa dùng cách lây lan thứ 3 (cách gian hùng) vì cách 1 dùng worm dễ bị lộ; cách thứ 3 
không tạo ra được nhiều máy lây nhiễm, cách thứ 4 phức tạp; 


Một cách tạo một botnet để gây ra thư rác (spam). 


Bước 1. Một điều phối viên botnet phát tán worm, làm nhiễm các máy tính cá nhân chạy 
Windows của những người dùng bình thường, đữ liệu của worm được gắn một con bot. 


Bước 2. Tại máy tính bị nhiễm, con bot này đăng nhập vào một server IRC nào đó (hay là một 
web server). Server đó được coi là Command-And-Control Server (C&C). 


Bước 3. Một người phát tán Spam mua quyền truy nhập botnet từ điều phối viên. 


Bước 4. Người phát tán Spam gửi các lệnh qua IRC Server tới các máy tính bị nhiễm, làm cho 
các máy tính này gửi các thông điệp rác tới các máy chủ thư điện tử. 
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Các botnet được khai thác với nhiều mục đích khác nhau, trong đó có các tấn công từ chối dịch 
vụ, tạo và lạm dụng việc gửi thư điện tử đề phát tán thư rác (Spambot), thực hiện "cú nhân gian 
lận" - click fraud, ăn trộm các số serial của ứng dụng, tên đăng nhập, và các thông tin tài chính 
quan trọng chắng hạn như số thẻ tín dụng. 


Điều đặc biệt nguy hiểm là các botnet được rao bán với giá rẻ (khoảng 20 USD) cho những 
người dùng khác và họ trở thành một hacker điều khiển botnet không cần kỹ thuật lập trình cao. 
Hậu quả của nó để lại không nhỏ: mất tài khoản. Nếu liên kết với một hệ thống máy tính lớn, nó 
có thể tống tiền cả một doanh nghiệp. 


Cộng đồng điều khiển botnet luôn có một cuộc cạnh tranh liên tục về việc ai có được nhiều bot 
nhất, nhiều băng thông nhất, và số lượng lớn nhất các máy tính "chất lượng cao" bị nhiễm, chẳng 
hạn như máy tính tại trường đại học, các công ty, hay thậm chí cả trong các cơ quan chính phủ. 


Nhóm của Sites ở Sunbelt cùng với đội phản ứng nhanh của công ty bảo mật IDefense Labs đã 
tìm ra một botnet chạy trên nền web có tên là Metaphisher. Thay cho cách sử dụng dòng lệnh, tin 
tặc có thê sử dụng giao diện đồ họa, các biểu tượng có thể thay đôi theo ý thích, chỉ việc dịch con 
trỏ, nhân chuột và tấn công. 


Theo 1Defense Labs, các bøz do Metaphisher điều khiển đã lây nhiễm hơn một triệu PC trên toàn 
cầu. Thậm chí trình điều khiển còn mã hóa liên lạc giữa nó và bør "đàn em" và chuyển đi mọi 
thông tin về các PC bị nhiễm cho người chủ 5ø/ như vị trí địa lý, các bản vá bảo mật của 
Windows và những trình duyệt đang chạy trên mỗi PC. 


Thời gian gần đây người ta đã phát hiện ra những công cụ tạo bør và điều khiển để đễ dùng bør 
góp phần làm tăng vọt số PC bị nhiễm ðø¿. Thí dụ, Jeanson James Ancheta, 21 tuổi, người Mỹ ở 
bang Califormia, bị tuyên án 57 tháng tù vì đã vận hành một doanh nghiệp "đen" thu lợi bắt chính 
dựa vào các botnet đề điều khiển 400.000 "thành viên"; vụ khác là ba tay điều khiển bør bị bắt ở 
Hà Lan vào mùa thu năm 2009, chúng là trung tâm "đầu não" điều khiển hơn 1,5 triệu PCI 


Mặc dù đã có luật để bắt những tội phạm kiểu này, nhưng do đễ dàng có được những công cụ 
phá hoại nên luôn có thêm người mới gia nhập hàng ngũ hacker vì tiền hay vì tò mò. 
1.11. Virus có khả năng vô hiệu hoá phần mềm diệt virus 


Một số virus có khả năng vô hiệu hoá hoặc can thiệp vào hệ điều hành làm tê liệt (một số) phần 
mềm diệt virus. Sau hành động này chúng mới tiến hành lây nhiễm và tiếp tục phát tán. Một số 
khác lây nhiễm chính vào phần mềm diệt virus (tuy khó khăn hơn) hoặc ngăn cản sự cập nhật 
của các phần mềm diệt virus. 


Các cách thức này không quá khó nêu như chúng năm rõ được cơ chê hoạt động của các phân 
mềm diệt virus và được lây nhiễm hoặc phát tán trước khi hệ thống khởi động các phần mềm 


9 


NCT.FIT.HNUE 


này. Chúng cũng có thê sửa đối file host của hệ điều hành Windows đề người sử dụng không thể 
truy cập vào các website và phân mêm (diệt virus không thê liên lạc với server của mình đê cập 
nhật. 


4. Một số thuật ngữ liên quan 


- _ Plagiarism (đạo văn, vi phạm bản quyên); 

- _ Privaey (ăn cắp bản quyên); 

- _ Slander (vu khống bằng lời); 

- __ Libel (phỉ báng bằng viết) 

- - Troll (chọc tức) 

- _ Prank (tấn công ai đó = cách post message hoặc email) 

- - Distort (xuyên tạc) 

- _ Phishing (giả mạo một trang khá giống như trang thật, lấy cắp thông tin rồi trả lại trang 
thật) 

- _ Spoofiïng (lừa đảo bằng một trang web) 
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